12869 2007-09-21 16:54:21 +0400 service iptables stop не выгружает модули ядра 2014-02-28 11:14:01 +0400 1 1 4 Development Sisyphus iptables unstable all Linux ASSIGNED P2 normal --- 1 erthad placeholder asy glebfm ldv mike placeholder vt qa-sisyphus oldest_to_newest 55605 0 erthad 2007-09-21 16:54:22 +0400 Ошибка в /etc/init.d/iptables. Функция read_tables всегда возвращает true, в результате и после остановки сервиса командой service iptables stop функции stop, panic, fwstatus и, что самое неприятное save, продолжают работать как если бы файрвол был запущен. Чем это грозит: Если сделать service iptables stop и _после_ этого service iptables save то слетают все сохраненные правила. Такая ситуация, например легко может возникникнуть если перед перезагрузкой компьютера при IPTABLES_SAVE_ON_STOP=yes сделать service iptables stop. 55607 1 ldv 2007-09-21 17:28:53 +0400 (In reply to comment #0) > Ошибка в /etc/init.d/iptables. > Функция read_tables всегда возвращает true, Это утверждение не соответствует действительности. Функция read_tables возвращает true если файл /proc/net/ip_tables_names непуст. > в результате и после остановки > сервиса командой service iptables stop функции stop, panic, fwstatus и, что > самое неприятное save, продолжают работать как если бы файрвол был запущен. > Чем это грозит: > Если сделать service iptables stop и _после_ этого service iptables save то > слетают все сохраненные правила. Такая ситуация, например легко может > возникникнуть если перед перезагрузкой компьютера при IPTABLES_SAVE_ON_STOP=yes > сделать service iptables stop. Правильный вывод из неправильной предпосылки. Проблема вызвана тем, что service iptables stop не выгружает модули ядра, в результате чего файл /proc/net/ip_tables_names остаётся непуст. 55608 2 2205 ldv 2007-09-21 17:49:46 +0400 Created attachment 2205 iptables.diff Попробуйте, пожалуйста, этот патч на /etc/init.d/iptables 55609 3 erthad 2007-09-21 18:00:57 +0400 [root@horus init.d]# service iptables stop Setting chains policy to ACCEPT: nat filter mangle [ DONE ] Flushing firewall rules: nat filter mangle [ DONE ] Removing user defined chains: nat filter mangle [ DONE ] Zeroing packet and byte counters: nat filter mangle [ DONE ] Unloading module iptable_nat: [ DONE ] Unloading module iptable_filter: FATAL: Module iptable_filter is in use. [FAILED] Unloading module iptable_mangle: FATAL: Module iptable_mangle is in use. [FAILED] 55613 4 2206 ldv 2007-09-21 18:37:30 +0400 Created attachment 2206 iptables.diff Новая версия того же патча. 55614 5 ldv 2007-09-21 18:38:11 +0400 (In reply to comment #3) > [root@horus init.d]# service iptables stop > Setting chains policy to ACCEPT: nat filter mangle > [ DONE ] > Flushing firewall rules: nat filter mangle > [ DONE ] > Removing user defined chains: nat filter mangle > [ DONE ] > Zeroing packet and byte counters: nat filter mangle > [ DONE ] > Unloading module iptable_nat: > [ DONE ] > Unloading module iptable_filter: FATAL: Module iptable_filter is in use. > > [FAILED] > Unloading module iptable_mangle: FATAL: Module iptable_mangle is in use. > > [FAILED] > А кто же использует эти модули? 55618 6 erthad 2007-09-21 18:52:39 +0400 (In reply to comment #4) > Created an attachment (id=2206) [edit] > iptables.diff > > Новая версия того же патча. Тот же результат. 55621 7 erthad 2007-09-21 18:56:49 +0400 > А кто же использует эти модули? Выяснилось, что каким-то боком их используют VZ контейнеры. После того, как я их остановил все заработало. Предыдущий патч проверить? 55624 8 erthad 2007-09-21 19:14:00 +0400 (In reply to comment #7) > > А кто же использует эти модули? > > Выяснилось, что каким-то боком их используют VZ контейнеры. > После того, как я их остановил все заработало. Уточнение: Если запускать service iptables start после vzctl start VEid, то он нормально останавливается. Если после запуска iptables запустить какое-нибудь VE, модули перестают выгружаться. 55626 9 ldv 2007-09-21 19:24:27 +0400 (In reply to comment #6) > (In reply to comment #4) > > Created an attachment (id=2206) [edit] [edit] > > iptables.diff > > > > Новая версия того же патча. > > Тот же результат. Естественно. Просто предыдущая версия патча была неполная. 55627 10 ldv 2007-09-21 19:27:16 +0400 (In reply to comment #8) > (In reply to comment #7) > > > А кто же использует эти модули? > > > > Выяснилось, что каким-то боком их используют VZ контейнеры. > > После того, как я их остановил все заработало. > > Уточнение: > Если запускать service iptables start после vzctl start VEid, то он нормально > останавливается. Если после запуска iptables запустить какое-нибудь VE, модули > перестают выгружаться. Наверное, дело обстоит следующим образом: если запущен хотя бы один контейнер, то модули выгрузить не получится. Вероятно, если после "service vz stop" выполнить "service iptables stop", то модули будут выгружены. 55628 11 ldv 2007-09-21 19:31:49 +0400 (In reply to comment #0) > Если сделать service iptables stop и _после_ этого service iptables save то > слетают все сохраненные правила. Только в случае если файл /proc/net/ip_tables_names не пуст. > Такая ситуация, например легко может > возникникнуть если перед перезагрузкой компьютера при IPTABLES_SAVE_ON_STOP=yes > сделать service iptables stop. Если IPTABLES_SAVE_ON_STOP включён, то правила будут сохранены непосредственно во время выполнения "service iptables stop", вне зависимости от способа запуска этой операции. Т.е. если выполнить "service iptables stop" вручную, то при выключении системы это действие будет пропущено. 55719 12 erthad 2007-09-24 12:29:17 +0400 > > Если запускать service iptables start после vzctl start VEid, то он нормально > > останавливается. Если после запуска iptables запустить какое-нибудь VE, модули > > перестают выгружаться. > > Наверное, дело обстоит следующим образом: если запущен хотя бы один контейнер, > то модули выгрузить не получится. > > Вероятно, если после "service vz stop" выполнить "service iptables stop", то > модули будут выгружены. Да, я практически об этом и написал. С сервисом vz вылезает еще один баг: если запустить service vz start до запуска service iptables start, то модули iptables загружаются скриптом vz, правила же не загружаются и мы можем опять получить ситуацию с потерей правил. 55720 13 erthad 2007-09-24 12:32:13 +0400 > > Если сделать service iptables stop и _после_ этого service iptables save то > > слетают все сохраненные правила. > Только в случае если файл /proc/net/ip_tables_names не пуст. > > Такая ситуация, например легко может > > возникникнуть если перед перезагрузкой компьютера при IPTABLES_SAVE_ON_STOP=yes > > сделать service iptables stop. > > Если IPTABLES_SAVE_ON_STOP включён, то правила будут сохранены непосредственно > во время выполнения "service iptables stop", вне зависимости от способа запуска > этой операции. > Т.е. если выполнить "service iptables stop" вручную, то при выключении системы > это действие будет пропущено. Если при этом выгрузятся все модули ядра, то так и есть, но если по каким-то причина хотя бы один из них не будет выгружен, то действие не будет пропущено и затрет сохраненные правила. 55723 14 ldv 2007-09-24 14:29:19 +0400 (In reply to comment #13) > > > Если сделать service iptables stop и _после_ этого service iptables save то > > > слетают все сохраненные правила. > > Только в случае если файл /proc/net/ip_tables_names не пуст. > > > > Такая ситуация, например легко может > > > возникникнуть если перед перезагрузкой компьютера при IPTABLES_SAVE_ON_STOP=yes > > > сделать service iptables stop. > > > > Если IPTABLES_SAVE_ON_STOP включён, то правила будут сохранены непосредственно > > во время выполнения "service iptables stop", вне зависимости от способа запуска > > этой операции. > > Т.е. если выполнить "service iptables stop" вручную, то при выключении системы > > это действие будет пропущено. > > Если при этом выгрузятся все модули ядра, то так и есть, но если по каким-то > причина хотя бы один из них не будет выгружен, то действие не будет пропущено и > затрет сохраненные правила. Нет. Действие "service iptables stop" не будет выполнено автоматически, если оно уже выполнено вручную и после этого не было выполнено "service iptables start". 55954 15 erthad 2007-09-27 16:49:54 +0400 Если из /etc/vz/vz.conf убрать из строчки IPTABLES="..." iptable_filter и iptable_mangle, то модули начинают выгружаться нормально. Оценить насколько они там нужны мне затруднительно. 145519 16 asy 2014-02-28 11:14:01 +0400 (In reply to comment #15) > Если из /etc/vz/vz.conf убрать из строчки IPTABLES="..." iptable_filter и > iptable_mangle, то модули начинают выгружаться нормально. > > Оценить насколько они там нужны мне затруднительно. Они там нужны. Без этого они недоступны в контейнерах. 2205 2007-09-21 17:49:46 +0400 2007-09-21 18:37:30 +0400 iptables.diff iptables.diff text/plain 470 ldv LS0tIC9ldGMvaW5pdC5kL2lwdGFibGVzCisrKyAvZXRjL2luaXQuZC9pcHRhYmxlcwpAQCAtMTc5 LDYgKzE3OSwxNyBAQAogCXJldHVybiAkUkVUVkFMCiB9CiAKK3VubG9hZF9tb2R1bGVzKCkKK3sK Kwlsb2NhbCB0CisKKwlmb3IgdCBpbiAkdGFibGVzOyBkbworCQlsb2NhbCBtPSIke0lQVn10YWJs ZV8ke3R9IgorCQlhY3Rpb24gIlVubG9hZGluZyBtb2R1bGUgJG06IiBtb2Rwcm9iZSAtciAiJG0i CisJZG9uZQorCXJldHVybiAwCit9CisKIGZ3c3RhdHVzKCkKIHsKIAlsb2NhbCBpCkBAIC0yMzMs NyArMjQ0LDggQEAKIHsKIAlpZiByZWFkX3RhYmxlczsgdGhlbgogCQlzZXRfcG9saWN5IEFDQ0VQ VCAmJgotCQlmbHVzaF9kZWxldGUKKwkJZmx1c2hfZGVsZXRlICYmCisJCXVubG9hZF9tb2R1bGVz CiAJCVJFVFZBTD0kPwogCWVsc2UKIAkJcHJpbnRmICVzICQiJElQVEFCTEVTIGZpcmV3YWxsIGlz IG5vdCBzdGFydGVkIgo= 2206 2007-09-21 18:37:30 +0400 2007-09-21 18:37:30 +0400 iptables.diff iptables.diff text/plain 1255 ldv ZGlmZiAtLWdpdCBhL2lwdGFibGVzLmluaXQgYi9pcHRhYmxlcy5pbml0CmluZGV4IDVjZWYyOGEu LmNjMzQ3ODMgMTAwNzU1Ci0tLSBhL2lwdGFibGVzLmluaXQKKysrIGIvaXB0YWJsZXMuaW5pdApA QCAtMTQ3LDcgKzE0Nyw2IEBAIGZsdXNoX2RlbGV0ZSgpCiAJCXByaW50ZiAlcyAiJGkgIgogCQkk SVBUQUJMRVMgLXQgJGkgLUYgfHwgUkVUVkFMPTEKIAlkb25lCi0JJElQVEFCTEVTIC1GIHx8IFJF VFZBTD0xCiAJWyAiJFJFVFZBTCIgLWVxIDAgXSAmJgogCQlzdWNjZXNzICJGbHVzaGluZyBmaXJl d2FsbCBydWxlcyIgfHwKIAkJZmFpbHVyZSAiRmx1c2hpbmcgZmlyZXdhbGwgcnVsZXMiCkBAIC0x NTksNyArMTU4LDYgQEAgZmx1c2hfZGVsZXRlKCkKIAkJcHJpbnRmICVzICIkaSAiCiAJCSRJUFRB QkxFUyAtdCAkaSAtWCB8fCBSRVRWQUw9MQogCWRvbmUKLQkkSVBUQUJMRVMgLVggfHwgUkVUVkFM PTEKIAlbICIkUkVUVkFMIiAtZXEgMCBdICYmCiAJCXN1Y2Nlc3MgIlJlbW92aW5nIHVzZXIgZGVm aW5lZCBjaGFpbnMiIHx8CiAJCWZhaWx1cmUgIlJlbW92aW5nIHVzZXIgZGVmaW5lZCBjaGFpbnMi CkBAIC0xNzEsNyArMTY5LDYgQEAgZmx1c2hfZGVsZXRlKCkKIAkJcHJpbnRmICVzICIkaSAiCiAJ CSRJUFRBQkxFUyAtdCAkaSAtWiB8fCBSRVRWQUw9MQogCWRvbmUKLQkkSVBUQUJMRVMgLVogfHwg UkVUVkFMPTEKIAlbICIkUkVUVkFMIiAtZXEgMCBdICYmCiAJCXN1Y2Nlc3MgIlplcm9pbmcgcGFj a2V0IGFuZCBieXRlIGNvdW50ZXJzIiB8fAogCQlmYWlsdXJlICJaZXJvaW5nIHBhY2tldCBhbmQg Ynl0ZSBjb3VudGVycyIKQEAgLTE3OSw2ICsxNzYsMTcgQEAgZmx1c2hfZGVsZXRlKCkKIAlyZXR1 cm4gJFJFVFZBTAogfQogCit1bmxvYWRfbW9kdWxlcygpCit7CisJbG9jYWwgdAorCisJZm9yIHQg aW4gJHRhYmxlczsgZG8KKwkJbG9jYWwgbT0iJHtJUFZ9dGFibGVfJHt0fSIKKwkJYWN0aW9uICJV bmxvYWRpbmcgbW9kdWxlICRtOiIgbW9kcHJvYmUgLXIgIiRtIgorCWRvbmUKKwlyZXR1cm4gMAor fQorCiBmd3N0YXR1cygpCiB7CiAJbG9jYWwgaQpAQCAtMjMzLDcgKzI0MSw4IEBAIHN0b3AoKQog ewogCWlmIHJlYWRfdGFibGVzOyB0aGVuCiAJCXNldF9wb2xpY3kgQUNDRVBUICYmCi0JCWZsdXNo X2RlbGV0ZQorCQlmbHVzaF9kZWxldGUgJiYKKwkJdW5sb2FkX21vZHVsZXMKIAkJUkVUVkFMPSQ/ CiAJZWxzZQogCQlwcmludGYgJXMgJCIkSVBUQUJMRVMgZmlyZXdhbGwgaXMgbm90IHN0YXJ0ZWQi Cg==